Разработка сайта для Вашего бизнеса. Веб дизайн. Дизайн логотипа, фирменного стиля, рекламная фотография . Комплексный рекламный креатив.

Ralex. We do the work.
На рынке с 1999го года. Средняя ценовая категория. Ориентация на эффективность решений.
Ознакомтесь с нашим портфолио
Узнайте больше о услугах
Свяжитесь с нами:
E-mail: [email protected]
Tel: (044) 587 - 84 - 78
Custom web design & дизайн и разработка сайта "под ключ"
Креативный, эффективный дизайн. Система управления сайтом (СУС).
Custom flexible разработка систем электронной коммерции
Система e-commerce разрабатывается под индивидуальные потребности. Гибкая функциональность.
Search Engine Optimzation & оптимизация под поисковые системы (SEO)
Постоянная оптимизация и мониторинг сайта в поисковых системах. Достигаем результата быстро и эффективно
Custom logo design & дизайн логотипа и фирменного стиля
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.
профессиональная рекламная фотография
креативно, смело, качественно
Custom logo design & рекламный креатив. дизайн рекламы
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.

Microsoft

Автор статті - Олександр Шейдаков, Експерт з прикладних рішень Microsoft Росія

Однією з безлічі нових функцій Windows Server 2016, пов'язаних з безпекою, стала можливість створення захищених віртуальних машин - Shielded VMs. Дана технологія дозволяє створити надійний бар'єр між власником бізнес-додатки і адміністратором середовища віртуалізації. Ця технологія - одна з тих, після появи яких ти не розумієш, як взагалі жив до цього.

Давайте подивимося, чому варто звернути на неї увагу, розглянувши які сценарії атак на віртуальні машини можливі в сучасному приватному хмарі або в хмарі сервіс-провайдера.

Припустимо, я адміністратор віртуалізованому середовища і, зрозуміло, у мене є доступ до всіх віртуальних машин, на яких можуть бути розгорнуті контролери домену, поштові сервіси, бази даних і т. Д. Я не є адміністратором всього домену, але у мене є адміністративний доступ до гіпервізор на рівні хоста.

Я роблю знімок віртуальної машини з контролером домену, а потім копіюю її в інше місце - на загальний файловий сервер або відразу на свій особистий флеш-накопичувач. І найприємніше, що ніхто цього не відчує: сервіси всередині ВМ не зупиняються ні на секунду, а я отримав копію контролера домену. Після цього я копіюю файли ВМ на свій особистий ноутбук, монтую VHDX, заходжу в папку Windows \ NTDS всередині віртуального диска і копіюю знаходиться там файл NTDS.dat (база даних Active Directory). Після цього за допомогою будь-якої існуючої утиліти для добування паролів з NTDS.dat я отримую паролі користувачів в домені у вигляді звичайного тексту. Для цього в залежності від довжини і складності пароля можуть знадобитися дні, тижні або навіть місяці, але я вже нікуди не поспішаю, аби встигнути до дати наступної зміни пароля користувача в домені (за замовчуванням це 42 дня).

Припустимо, що я дізнався пароль адміністратора SQL Server, де працює HR-система. Я заходжу на віртуальну машину з SQL Server і залишаю в секції реєстру HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run посилання на запуск атакуючого скрипта, який запуститься в той момент, коли DBA залягання на сервер. Що цей скрипт зробить - вирішувати мені.

Можливі й інші сценарії. Наприклад, адміністратор сервіс-провайдера з метою заробітку отримує доступ до сервера, де працює база даних CRM-системи великого замовника, і вивантажує дані по всіх клієнтах в Excel, після чого продає ці дані конкурентам.

Таким чином, якщо у мене є права адміністратора віртуалізованому середовища, то я можу отримати доступ до вмісту всіх віртуальних машин на керованих хостах. Я можу легко скинути пароль локального адміністратора або root, абсолютно непомітно для власника сервісу всередині цієї ВМ, адже у нас є консольний доступ.

Іншим можливим сценарієм отримання доступу до вмісту віртуальної машини є також зовні непомітне підключення відладчика до робочого процесу VMWP запущеної віртуальної машини, після чого я отримую дамп вмісту оперативної пам'яті і шукаю цікаві речі всередині нього.

Розглянемо також дуже поширений спосіб захисту від атак подібного роду - шифрування віртуальних дисків. Багато замовників думають, що це хороша міра захисту від подібних загроз. Але якщо використовувати шифрування на рівні хоста, то той же адміністратор віртуалізованому середовища при бажанні зможе відключити шифрування на час і розшифрувати диск. Якщо використовувати шифрування диска зсередини ВМ, то це може бути незручно (найчастіше в подібних системах потрібно вводити спеціальний код при запуску ВМ). Плюс це не захищає від того, що адміністратор гипервизора НЕ скопіює ВМ на свій флеш-накопичувач і не атакуватиме копію віртуальної машини по мережі, запустивши її на своєму особистому комп'ютері. За дуже швидкої віртуальної мережі, за межами корпоративних брандмауерів і систем моніторингу ІБ.

Даний спосіб атак актуальний для всіх сучасних гіпервізора - будь то Hyper-V 2012 R2 або система віртуалізації останнього покоління від інших лідерів ринку. Але в Windows Server 2016 дана проблема була вирішена на корені.

Windows Server 2016 і оновлений Hyper-V 2016 надають можливості захисту ваших віртуальних машин від перегляду вмісту, крадіжки, шкідливого втручання (в тому числі з боку системного адміністратора) в процесі роботи віртуальної машини або в зупиненому стані. Дана технологія отримала назву Shielded VM і з її допомогою ви можете захищати віртуальні машини, розміщені як в фабриці, якій ви не в повній мірі довіряєте (наприклад, у сервіс-провайдера), так і всередині вашого ЦОД (коли одні співробітники керують приватним хмарою, а інші відповідають за сервіси, що працюють всередині ВМ) .Давайте порівняємо використання захищеної віртуальної машини Shielded VM зі звичайною віртуальною машиною Hyper-V і фізичної машиною в ЦОД (червоним показаний потенційно небезпечний доступ):

В рамках технології існує два типи захисту віртуальних машин - режим Shielded і режим Encryption Supported. В обох режимах у віртуальній машині зашифровано не тільки вміст, але і трафік Live Migration, причому міграція такої машини буде відбуватися тільки на довірений хост, а VHDX буде зашифрований за допомогою vTPM (virtual Trusted Platform Module) засобами BitLocker в гостьовій ОС. Крім того, в режимі Shielded реалізована додатковий захист у вигляді відключення деяких віртуальних пристроїв всередині самої ВМ, що не дозволить підключитися ні до консолі віртуальної машини, ні тим більше отримати вміст її дампа пам'яті. Режим Encryption Supported підходить для сценаріїв, коли власник додатки довіряє адміністраторам середовища віртуалізації, а також для сценаріїв, коли потрібно відповідність вимогам деяких регуляторів. В інших випадках ми рекомендуємо використовувати найбільш захищений режим Shielded.

Атестація хоста відбувається з використанням нової служби, що з'явилася в Windows Server 2016, - Host Guardian Service. Ця служба знаходиться окремо від гипервизора, і мається на увазі, що доступ до неї мають лише виділені співробітники організації, а у адміністратора Hyper-V до неї доступу немає (інакше втрачається весь сенс). Host Guardian Service зберігає ключ зашифрованою віртуальної машини, і, коли атестований хост звертається до служби, та перевіряє, чи може дана віртуальна машина запускатися на даному конкретному хості Hyper-V (тобто чи входить хост в нашу довірену фабрику і чи не є особистим ноутбуком зловмисника), потім перевіряє стан хоста (наприклад, чи встановлені всі необхідні оновлення та чи немає попереджень від системи антивірусного захисту), і якщо все в порядку, передає ключ для запуску ВМ.

Технологія Shielded VMs не ускладнювати адміністрування хмари - захищені віртуальні машини все так же можна «бекапіть», переміщати на інші хости за допомогою Live Migration або навіть мігрувати на інші майданчики за допомогою Hyper-V Replica (за умови, що хости входять в довірену середу і управляються тієї ж службою Host Guardian Service).

Компоненти System Center 2016 підтримують управління компонентами механізму Shielded VMs, а Windows Azure Pack тепер вміє створювати захищені віртуальні машини поряд зі звичайними.

Компоненти System Center 2016 підтримують управління компонентами механізму Shielded VMs, а Windows Azure Pack тепер вміє створювати захищені віртуальні машини поряд зі звичайними

Давайте подивимося, як технологія Shielded VMs захищає від типових атак з боку адміністратора середовища віртуалізації в сучасному хмарі:

спосіб атаки

технологія захисту

Скидання пароля адміністратора всередині ВМ

Відключення консольного доступу і PowerShell Direct, а також потенційно небезпечних запитів WMI шляхом видалення віртуальних пристроїв всередині ВМ.

Отримання доступу до файлової системи ВМ пут е м монтування віртуального диска (в т ому числі ін'єкція скриптів, що виконуються при завантаженні ВМ)

Шифрування віртуальних дисків і файлів Checkpoints за допомогою BitLocker. Ключі шифрування надійно захищені у віртуальному TPM чипі

Копіювання ВМ за межі довіреної середовища з метою злому по мережі (в т ому числі використання снепшот і відновлення з резервної копії)

Служба Host Guardian Service передасть ВМ ключі для розшифровки завантажувача тільки після того, як переконається, що ВМ запускається на довіреному хості.

Зміна завантажувача ВМ

Механізм Secure Boot блокує подальший запуск ВМ при виявленні змін в засобі завантаження

Перехоплення даних пут е м аналізу дампа ВМ

Блокування підключення відладчика до VMWP. Шифрування файлу Saved State, а також Runtime State.

Перехоплення мережевого трафіку, що містить дані оперативної пам'яті ВМ, при динамічної міграції на інший хост

Шифрування трафіку Live Migration.

Перехоплення даних при міграції ВМ у резервний сайт

Шифрування трафіку і даних, що зберігаються механізму Hyper-V Replica

Ін'єкція шкідливих скриптів всередину шаблону ВМ

Звірка підписи диска з Volume Signature Catalog при створенні Shielded VM

Перехоплення пароля адміністратора, що вводиться при створенні ВМ з шаблону

Пароль адміністратора береться з зашифрованого PDK-файлу і не вводиться при створенні ВМ.

Які сценарії використання даного типу віртуальних машин можуть бути?

- Хостинг-провайдери, що надають віртуальні машини в оренду: ви хочете захистити дані ваших замовників від крадіжки, забезпечивши додатковий бар'єр від адміністративного персоналу

- Компанії, які планують міграцію в хмару: ви хочете розмістити робоче навантаження в хмарі і вам необхідно гарантувати збереження даних усередині ваших ВМ і вимоги регулюючих органів (фінансові регулятори, персональні дані і т. П.)

- Власне приватне хмара: ви хочете відокремити завдання адміністрування робочих навантажень від завдань з адміністрування фабрики Hyper-V.

Додатково розглянемо сценарій використання механізму Shielded VMs для захисту інформаційної системи в зв'язці з технологією Always Encrypted, яка з'явилася в SQL Server 2016. Нагадаю, ця технологія дозволяє зберігати конфіденційні дані (номери кредитних карт, персональні дані і т. Д.) В шпальтах таблиці бази в зашифрованому вигляді. Розшифровка таких даних відбувається на стороні клієнтського додатка, яке звертається до довіреній сховища ключів, недоступному адміністратору бази даних. Таким чином Always Encrypted дозволяє розділити користувачів бази на тих, хто володіє даними і має право їх переглядати, і тих, хто виконує завдання по адмініструванню і не повинен мати доступу до таких даних. При цьому організація може спокійно зберігати свої бази в хмарі, використовувати аутсорсеров як адміністраторів бази даних або підвищити вимоги безпеки всередині компанії для власних співробітників.

При цьому організація може спокійно зберігати свої бази в хмарі, використовувати аутсорсеров як адміністраторів бази даних або підвищити вимоги безпеки всередині компанії для власних співробітників

Always Encrypted виконує шифрування прозоро для програми: на рівні клієнтського додатка встановлюється драйвер, який шифрує дані в базі за допомогою ключів, що зберігаються в клієнтському додатку. Шифрування здійснюється при виконанні операцій INSERT або UPDATE перед їх передачею в БД. Аналогічним чином виконується операція SELECT, при якій дані з відповідних стовпців прозоро дешифруються драйвером. При цьому структура таблиці ніяк не змінюється, що дозволяє зберегти семантику програми, що використовує SQL Server. Якщо додаток відправляє параметризрвані запит, драйвер отримує інформацію від Database Engine, які параметри відносяться до зашифрованих стовпцями і відповідно повинні бути зашифровані або розшифровані. Для параноїків може бути важливо, що при цьому можна реалізувати і свій власний постачальник сховища ключів стовпців.

Сценарії використання технології Always Encrypted можуть бути такими ж як при використанні Shielded VM: хостинг-провайдери; забезпечення вимог законодавства щодо захисту даних, розміщених в хмарі; розмежування доступу до конфіденційних даних всередині ІТ-підрозділу компанії між адміністратором сервера баз даних і адміністратором програми.

Технології Shielded VMs і Always Encrypted відмінно працюють в зв'язці. Наприклад, я є власником сервісу, який складається з Front-end частини (веб-додаток) і Back-end (база даних SQL Server). Моя база працює у великій фермі SQL Server 2016 Enterprise, якою управляють адміністратори СУБД. Я хочу убезпечити дані свого додатки від крадіжки і використовую технологію SQL Server 2016 Always Encrypted для шифрування даних в базі. Але при цьому ключі для шифрування знаходяться всередині віртуальної машини, де працює Front-end, і їх теж потрібно убезпечити від крадіжки. Для цього я перекладаю віртуальну машину з Front-end в режим Shielded, і тепер доступ всередину неї маю тільки я. Вийшла захист додатки з обох фронтів.

Спільне використання цих двох технологій гарантує безпрецедентний рівень безпеки, разом з тим дозволяє знайти найбільш підходящий сценарій розміщення ваших даних, не побоюючись за їх збереження.

Якщо ви хочете дізнатися більше про те, як працює технологія Shielded VMs в Windows Server 2016, ми рекомендуємо вам прочитати офіційну документацію і подивитися презентацію з конференції Microsoft Ignite.

Відповідно, якщо ви хочете дізнатися більше про те, як працює технологія Always Encrypted в SQL Server 2016, то ви можете прочитати офіційну документацію за даною технологією.

Які сценарії використання даного типу віртуальних машин можуть бути?
Категории
  • Биология
  • Математика
  • Краеведению
  • Лечебная
  • Наука
  • Физике
  • Природоведение
  • Информатика
  • Новости

  • Новости
    Подготовка к ЕГЭ по математике
    Статьи Опубликовано: 05.10.2017 Подготовка к ЕГЭ по МАТЕМАТИКЕ. 1 часть. Эффективный курс подготовки. Вы находитесь на сайте www.ege-ok.ru - Подготовка к ЕГЭ по математике. Меня зовут Инна Владимировна

    Куда поступить с обществознанием, русским и математикой
    Статьи Опубликовано: 06.10.2017 Сдача ЕГЭ. Куда поступать? Обществознание считается одним из самых популярных предметов, которые выпускники сдают на ЕГЭ. Ввиду высокого рейтинга дисциплины Рособрнадзор

    Сайт Майер Елены - ЕГЭ по математике
    Планируется проведение двух отдельных экзаменов – базового и профильного. Кому сдавать базовый ЕГЭ по математике? Базовый ЕГЭ организуется для выпускников, изучающих математику для общего развития

    ГДЗ решебник по математике 4 класс
    Извините, тут пока ничего нет ((( Решебник по математике 4 класс (Истомина Н.Б.) – не просто возможность быстро выполнить домашнее задание для учащегося, но и способ разобраться в труднорешаемых задачах.

    ГДЗ по математике 1 класс Самсонова самостоятельные работы
    Решебник по математике за 1 класс автора Самсоновой Л.Ю. 2012 года издания. Данное пособие предлагает готовые решения на разнообразные упражнения, направленные на активизацию всего учебного процесса. Здесь

    Для этой работы нужна математика
    Слотов: 956 Рулеток: 7 Лицензия: Pragmatic Play, Microgaming, ELK, Yggdrasil, Habanero, Amatic, Isoftbet, Netent, Rival, Igrosoft, Quickspin. Игры: Автоматы, Покер, Рулетки. Всего 963 Отдача: 98% Бонус

    Веселые задачи по математике 2 класс
    Во время занятий для того, чтобы немного переключить внимание школьников, но при этом не уйти от предмета, можно давать шутливые задачи на сообразительность. Буду пополнять коллекцию таких задач. Дополнительная

    Функция экспонента в Excel
    Одной из самых известных показательных функций в математике является экспонента. Она представляет собой число Эйлера, возведенное в указанную степень. В Экселе существует отдельный оператор, позволяющий

    ЕГЭ по математике 2018
    ЕГЭ по математике, наравне с русским языком , – обязательный экзамен для сдачи выпускниками 11-х классов. По статистике он самый сложный. Мы предлагаем ознакомиться с общей информацией об экзамене и

    Секреты эффективной и быстрой подготовки ко второй части ОГЭ по математике.
    Уважаемые девятиклассники, настоящие или будущие! Часто от вас приходится слышать следующие вопросы. Легко ли подготовиться к заданиям второй части ОГЭ по математике? Сколько для этого понадобится


    Наши клиенты
    Клиенты

    Быстрая связь

    Тел.: (044) 587-84-78
    E-mail: [email protected]

    Имя:
    E-mail:
    Телефон:
    Вопрос\Комментарий: